Work in Progress

Informationssicherheit

Das ist ein Versuch, das Thema Informationssicherheit auf einer Seite zusammenzufassen, so dass ein grundsätzliches Verständnis entsteht, was Informationssicherheit eigentlich ist und warum man das macht.

ISO27001ff

Die ISO270xx Normenreihe befasst sich mit dem Aufbau und den Betrieb eines Informationssicherheitsmanagements. Hört sich kompliziert an, ist es aber nicht, wenn man die Grundprinzipien für den Ansatz kennt. Die Komplexität liegt in der Implementierung, was daran liegt, dass i.d.R. sehr viele Assets in den Unternhmen vorhanden sind und diese oftmals nicht einmal bekannt oder zumindest zentral erfasst sind. Was verlangt die Informationssicherheit überhaupt?

  • Kenne Deine Assets
    • Welche Daten/Informationen habe ich? Das gilt nicht nur für digitale Daten, sondern auch für ausgedruckte Daten.
    • Was sind meine Komponenten, die Daten verarbeiten, dazu gehören auch Hardware, Software, aber auch vergebene IP-Adressen etc.
  • Klassifizierung dieser Assets nach Vertraulichkeit, Verfügbarkeit und Integrität.
    • Was passiert, wenn die Daten in falsche Hände gelangen, verloren oder manipuliert werden?
    • Im Falle von personenbezogenen Daten ist es sehr hilfreich, gleich zu dokumentieren, welche Bedingungen und Fristen für die Löschung eingehalten werden müssen.
  • Kenne Deine Prozesse: Welche Prozesse gibt es und welche Assets werden von welchem Prozess genutzt?
    • Die Einstufung dieser Prozesse richtet sich i.d.R. nach der Klassifizierung der Daten, mit denen die Prozesse arbeiten.
    • Im Verfahrensverzeichnis, das man ohnehin für den Datenschutz benötigt, sollten diese Prozesse dokumentiert sein.
  • Welche Risiken habe ich aufgrund des Umgangs mit diesen Daten?
    • Hier kommen auch gesetztliche Regelungen ins Spiel, wie z.B. die DSGVO und das IT-Sicherheitsgesetz.
    • Dazu kommen noch weitere Regelungen wie z.B.bei Banken, Energieversorgern oder Netzbetreiber.
  • Welche Restrisiken können akzeptiert werden?
  • Definitionen für die Maßnahmen
    • Risikoreduzierung (z.B. Härtung der Systeme)
    • Risikoakzeptanz (bei geringem Schaden oder geringer Eintrittswahrscheilnlichkeit werden keine weiteren Maßnahmen getroffen)
    • Risikodelegation (z.B. Versicherung, eine Option bei sehr geringer Eintrittswahrscheinlichkeit, aber sehr hohem Schaden)

Schon im ersten Punkt "Vertraulichkeit" ist erkennbar, wie sich damit auch das Teile des Problems DSGVO lösen lassen. Mit einem wirksamen Informationssicherheitmanagement kann man bereits den Nachweis erbringen, dass "die notwendige Sorgfalt" im Umgang mit personenbezogenen Daten erbracht wird. ISM ersetzt zwar nicht den Datenschutz, aber ist ein wesentlicher Teil davon.

Die Implementierung kann gerade bei größeren Unternehmen sehr komplex werden, weil zur Ermittlung der Assets und damit verbundnen Risiken praktisch alle Unternehmensprozesse untersucht werden müssen. In der Regel ist die Anzahl der ermittelten Assets sehr virl größer, als man meist annimmt. Die Strukturanalyse ist auch der komplexteste Teil bei der Einführung eines Informationsmanagementsystems.

IT-Sicherheitsgesetz

Auch das ist kein Hexenwerk - zumindest wenn man es erst einmal verstanden hat. Der Gesetzestext wurde von Juristen verfasst, daher gibt es für Nicht-Juristen gewisse Hürden. Zusammen mit der KRITIS Verordnung müssen sich größere Unternehmen auf jeden Fall damit befassen. Von besonderer Bedeutung ist die KRITIS Verordnung, weil Unternhmen, die dort erfasst sind, erweiterte Meldepflichten haben und ggf. auch erweiterte Audit Pflichten haben.

Diese Pflichten muss man kennen und sein Informationssicherheitsmanagement eben darauf ausrichten. Notfalls lässt man sich das noch einmal von einem externen Beratungsunernehmen bestätigen, dass man KRITIS unterliegt, oder eben nicht.

Bei der Meldung von relevanten Vorfällen gibt es einige Punkte zu beachten, weil eine solche Meldung in der Regel zu einer Reaktion der zuständigen Behörde (z.B. BNetzA oder BSI) führt. Das wird typischerweise einmal eine Prüfung des Informationssciherheitsmanagements sein, wobei speziell die Gründe für das Auftreten des gemeldeten Vorfalls recht genau untersucht werden. Werden bei der Prüfung weitere Mängel festgestellt, dann wird die Behörde auch diesen nachgehen.

In Kenntniss dieser Vorgehensweise muss also die Meldung sehr sorgfältig erstellt werden. Die Fristen für die Abgabe sind sehr kurz - es ist "unverzüglich" zu melden. Wurde die Ursache bis dahin noch nicht ermittelt, dann müssen regelmäßig Updates der Meldung erfolgen bis die Ursache geklärt ist.

Grundsätzlich kristallsieren sich bei diesen Prüfungen zwei Szenarien heraus:

  • Es wird festgestellt, dass eine wirksame Sicherheitsinfrastruktur und -prozesse vorhanden sind und der Vorfall ggf. nicht vorhersehbar oder sogar unvermeidbar war. Dieser Fall ist eher selten, die Behörde findet eigentlich immer etwas, was hätte besser gemacht werden können.
  • Es werden Mängel festgestellt, die das Auftreten des Vorfalls maßgeblich begünstigt haben. Weiterhin können auch "wesentliche Mängel" festgestellt werden, was im Unterschied zu "nicht wesentlichen Mängeln" meist zu deutlich mehr Aufwänden in der Behebung und Berichten führt.

DSGVO

Die Datenschutzgrundverordnung stellt darauf ab, dass "geeignete technische Maßnahmen nach dem aktuellen Stand der Techik" umgesetzt werden, um Datenschutzverstöße möglichst zu verhindern. Falls etwas passiert, dann richtet sich die Höhe des Bußgelds und ob überhaupt ein Bußgeld verhängt wird, sehr stark davon ab, inwieweit ein angemessenes Informationssicherheitsmanagment umgesetzt wurde. Man kann sich so also eine Menge Kosten und Ärger ersparen, wenn man seine Hausaufgaben macht.

BSI-Grundschutz Kompendium/BSI Standards

Wie man diesen Pflichten nun nachkommen kann, muss man sich nicht alles selbst überlegen, da hat das BSI schon eine gute Vorarbeit geleistet. Es gibt auch viele Anleitungen, wie man seine Informations- und IT-Sicherheit so aufbauen kann, so dass man damit ein Audit mit einem guten Ergebnis bekommen kann. Das sind:

Die BSI Standards sind auch sehr nützlich für den Aufbau des Risikomanagements. Im Zweifel wird nämlich gegen diese Standards geprüft.

VDS 10000

Einige Sachversicherer bieten sogenannte Cyberversicherungen an, mit denen man sich gegen entsprechende Risiken versichern kann. Die Versicherungen haben dazu die VDS 10000 als Standard für Informarmationssicherheitsrisiken entwickelt. Gerade für kleine und mittelständische Unternehmen ist das eine gangbare Alternative zur einem kompletten ISO 27001 Informationssicherheitsmanagement. Wer mit personenenbezogenen Daten im Sinne der DSGVO hantiert, kann mit dem "kleinen" Infomationssicherheitmanagement nach VDS 10000 Prozesse aufbauen, die nicht so komplex sind. Gegen die Restrisiken, insbesondere den Wiederaufbau der IT nach einem entsprechenden Vorfall, kann man sich versichern. Wer da seine Hausaufgaben gemacht hat, wird da natürlich günstiger wegkommen, als jemand, der das Thema Informationssicherheit zu locker angeht. Die Versicherung kann evtl. auch dabei helfen, dass die Kosten für ein Audit nicht zu hoch ausfallen, denn schließlich will die Versicherung auch eine Police verkaufen. Ganz wichtig: Den Versicherungsvertragsentwurf genau lesen, bei Ungenauigkeiten nachfragen und das Ergebnis in den Entwurf ergänzen lassen.

Ein Beispiel

Am Beispiel eines Onlineshops soll gezeigt werden, was man als Betreiber tun muss. Es wird der Einfachheit halber nur der Bestell- bis zum Versandprozess betrachtet. Es fallen verschiedene, personenbezogene oder zumindest schützenswerte Daten an:

  • Name und Adresse des Bestellers
  • E-Mail Adresse des Bestellers, evtl. auch ein Passwort für den Online-Shop
  • Bankverbindung oder Kreditkartendaten, zumindest werden diese von einem beauftragten Zahlungsdienstleister verarbeitet

Egal, ob die Daten selbst oder von einem externen Dienstleister verarbeitet werden, für die Sicherheit der Daten ist der Betreiber des Online-Shops immer haftbar. Was muss der Betreiber nun tun?

  • Dokumentation der Prozesse und welche Daten dort verarbeitet werden
    • Bestellung: Welche Daten werden erhoben und verarbeitet?
    • Wo werden diese Daten verarbeitet? Beispiel: Zahlungsdienstleister und Paketlogistik. Werden Daten außerhalb der EU verarbeitet oder gespeichert?
    • Sind externe Partner berechtigt und geeignet die Daten zu verarbeiten? Bei Kreditkarten auch an PCI-DSS denken. Sind die Partner z.B. BSI ISO27001 zertifiziert?
  • Dokumentation der beteiligten Systeme und Datenstrecken. Grundsätzlich sollten alle Zugriffe verschlüsselt und authentifiziert stattfinden.
  • Dokumentation IT-Sicherheitskonzept
    • Technische Maßnahmen zur Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Daten
    • Patchmanagement
    • Benutzerberechtigungskonzept (welche Rechte und Rollen gibt es, wer hat diese Rollen?)
    • Notfallkonzept - Runbook mit Maßnahmen im Falle von Sicherheitsvorfällen
    • Monitoring - immer den Überblick über den Status der beteiligten Systeme und Services behalten.
  • Risikobewertung
    • Welche Szenarien für Sicherheitsvorfälle gibt es? Beispiele:
      • Einbruch in die Datenbank
      • Codeinjections - auch persistent
      • Manipulation des Bestellprozesses
      • Denial-Of-Service
    • Wie hoch sind Wahrscheinlichkeit und Schadenshöhe in Bezug auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der Daten und des Prozesses. Wenn der Onlineshop nicht funktioniert, dann verdient das Unternehmen kein Geld.
  • Dokumentations der Maßnahmen zur Sicherheit

Das ist nur eine ganz grobe Übersicht über die wichtigsten Maßnahmen, die im Rahmen des Aufbaus eines Informationssicherheitsmanagements für einen Prozess durchgeführt werden müssen. Dazu kommen noch Reportings, so dass die Risiken der Geschäftsleitung bekannt gemacht werden. Nur so ist die Geschäftsleitung in der Lage, eine "angemessene" Bewertung der Informationssicherheitsrisiken vorzunehmen. Die Kenntniss der Unternehmensrisiken ist übrigens auch für die Bewertung der Kreditwürdigkeit relevant. Für Risiken müssen Rücklagen gebildet werden, das wirkt sich auf das Geschäftsergebnis aus.

Das ist jetzt eine stark vereinfachte Darstellung und soll auch nur beispielhaft transparent machen, an welchen Stellen etwas getan werden muss, und welche Auswirkungen das hat.